Investigadores de Kaspersky han alertado sobre una campaña de Malware multiplataforma que sustrae información a través de las frases de recuperación de billeteras de criptomonedas. Para ello emplea aplicaciones móviles maliciosas que pueden ser descargadas desde las tiendas de aplicaciones de Google y Apple.
Este software malicioso escanea las imágenes de los usuarios en busca de aquellas que contengan frases de recuperación de billetera. La campaña ha sido denominadas como “SparkCat”. Los expertos indican que utiliza “un kit de desarrollo de software malicioso (SDK) integrado en aplicaciones de mensajería modificadas y otras aplicaciones para escanear las galerías de imágenes de los usuarios”.
Esta técnica ya se ha empleados antes, específicamente en marzo de 2023, según explica Kaspersky. En aquel momento, los de ciberseguridad observaron funciones de malware dentro de las aplicaciones de mensajería que escaneaban las galerías de usuarios. El sofistifado método urgaba entre las frases de recuperación de billeteras criptográficas (comúnmente conocidas como mnemotécnicas) para enviarlas a servidores remotos. Lo mismo estaría ocurriendo en esta oportunidad.
En 2023 la campaña maliciosa solo afectó a los usuarios de Android y Windows a través de fuentes de aplicaciones no oficiales. Pero con SparkCat, que viene siendo investigadores desde finales de 2024, no ocurre lo mismo. La nueva campaña es mucho más voraz y “emplea un marco SDK integrado en varias aplicaciones disponibles en mercados de aplicaciones oficiales y no oficiales para dispositivos Android e iOS”, según datos de Kaspersky.
Malware oculto en Aplicaciones o APKs
En un caso, se descubrió que una aplicación de entrega de comida a domicilio llamada “ComeCome” en Google Play incluía el SDK malicioso. Las aplicaciones infectadas se instalaron en conjunto más de 242.000 veces y, posteriormente, se identificó un malware similar en aplicaciones disponibles en la App Store de Apple.
Stephen Ajayi, líder técnico de auditoría de dApp en la empresa de ciberseguridad criptográfica Hacken, explicó que el malware ha pasado desapercibido porque “las medidas preventivas empleadas por las tiendas de aplicaciones generalmente consisten en controles automáticos y rara vez incluyen revisiones manuales”.
El problema se agrava por la ofuscación del código y las actualizaciones maliciosas que introducen malware después de que una aplicación ya haya sido aprobada. En el caso de SparkCat, los atacantes ofuscaron el punto de entrada para ocultar sus acciones a los investigadores de seguridad y a las autoridades. Esta táctica les ayuda a evadir la detección mientras mantienen sus métodos en secreto de los competidores.
Slava Demchuk, director ejecutivo de la empresa de análisis blockchain AMLBot
Expertos en seguridad recomienda que “pensarlo dos veces antes de conceder permisos a las aplicaciones”. Stephen Ajayi también ha recomendado que “los desarrolladores de monederos deberían encontrar mejores formas de gestionar y mostrar datos sensibles como las frases semilla”.
